網(wǎng)絡(luò)安全探針的介紹與使用記錄

上級(jí)為加強(qiáng)信息安全監(jiān)測(cè)為一些單位安裝了網(wǎng)絡(luò)安全探針，作者單位也是其中之一。

設(shè)備是某公司某監(jiān)測(cè)引擎。探針通過(guò)對(duì)Web流量和應(yīng)用進(jìn)行深度檢測(cè)，提供了全面的入侵檢測(cè)能力。能在攻擊到達(dá)Web服務(wù)器之前進(jìn)行檢測(cè)，并進(jìn)行實(shí)時(shí)的攻擊預(yù)警，解碼所有進(jìn)入的請(qǐng)求，檢查這些請(qǐng)求是否合法或合乎規(guī)定。它擁有對(duì)常規(guī)攻擊、已知漏洞攻擊、0day攻擊等的發(fā)現(xiàn)能力。探針通過(guò)對(duì)流量進(jìn)行深度解析，發(fā)現(xiàn)流量中的惡意攻擊，提供了全面的檢測(cè)和預(yù)警能力，通過(guò)關(guān)聯(lián)分析綜合判斷攻擊的行為和攻擊路徑。

網(wǎng)絡(luò)安全探針的功能介紹

安全探針有2個(gè)管理口，4個(gè)光電復(fù)用千兆口，2個(gè)萬(wàn)兆光口，內(nèi)存64G，交換空間 32G，系統(tǒng)分區(qū) 32G，數(shù)據(jù)分區(qū)1.6T，探測(cè)器分區(qū)50G，入庫(kù)緩存分區(qū)1G。

圖1 安全探針的首頁(yè)

安全探針有以下能力：

1.一些高危的惡意代碼通常殺毒軟件是無(wú)法處理的，一旦進(jìn)入內(nèi)網(wǎng)影響較大，比如一些包含shellcode、勒索病毒的樣本，它可以快速的發(fā)現(xiàn)并預(yù)警這些攻擊。

2.內(nèi)置了一部分黑IP黑域名庫(kù)，同時(shí)通過(guò)沙箱提取樣本中包含的C&C IP/URL，實(shí)現(xiàn)動(dòng)態(tài)的自學(xué)習(xí)更新黑IP黑域名庫(kù)，監(jiān)控內(nèi)部主機(jī)存在被控制回連的行為。

3.通過(guò)深度和全面的行為分析能力，可以發(fā)現(xiàn)網(wǎng)絡(luò)中的隱蔽攻擊威脅，避免內(nèi)網(wǎng)出現(xiàn)惡意代碼傳播和感染等危害。

4.不僅可以分析出當(dāng)前存在的威脅，還可以記錄威脅的來(lái)源、攻擊手段、攻擊過(guò)程、攻擊目標(biāo)、攻擊影響等信息，實(shí)現(xiàn)對(duì)攻擊的過(guò)程分析和溯源分析，確定內(nèi)部主機(jī)的遭受的威脅程度。

5.可以發(fā)現(xiàn)由內(nèi)向外的異常流量，定位內(nèi)網(wǎng)存在的僵尸主機(jī)，可以定位到具體的IP、MAC、區(qū)域等信息。

首頁(yè)如圖1，包括導(dǎo)航、分析、風(fēng)險(xiǎn)、報(bào)表、探測(cè)器、配置、系統(tǒng)等菜單。

導(dǎo)航中主要顯示緊急事件，時(shí)間、感染主機(jī)、緊急事件，當(dāng)有緊急事件時(shí)其他風(fēng)險(xiǎn)事件不出現(xiàn)，只有處理了緊急事件后才出現(xiàn)最新高風(fēng)險(xiǎn)名稱。緊急事件中顯示感染主機(jī)的域名、地址、事件文件名及地址，及事件的類型。

分析中主要有緊急事件分、主機(jī)威脅分析、攻擊路線圖、流量分析等。

報(bào)表菜單里有惡性意威脅分析報(bào)告、總體風(fēng)險(xiǎn)統(tǒng)計(jì)、郵件社工行為統(tǒng)計(jì)、惡意文件攻擊統(tǒng)計(jì)、其他惡意行為統(tǒng)計(jì)、受攻擊主機(jī)TOP100統(tǒng)計(jì)、攻擊源TOP100統(tǒng)計(jì)等。有多種時(shí)間范圍可選，也可以自定義時(shí)間。

配置菜單的引擎管理中啟用了Web特征檢測(cè)、惡意文件攻擊檢測(cè)、C&C IP/URL檢 測(cè)、Web后門(mén)訪問(wèn)檢測(cè)、Web行為分析檢測(cè)、惡意木馬回連、非法數(shù)據(jù)傳輸、DGA域名請(qǐng)求、SMB遠(yuǎn)程溢出攻擊，有4個(gè)郵件相關(guān)的檢測(cè)沒(méi)啟用。

配置菜單的Web特征管理中有SQL注入35條，命令注入27條、跨站腳本42條、代碼注入9條、協(xié)議錯(cuò)誤6條，全部啟用。

系統(tǒng)日志里有很多信息，如后臺(tái)控制臺(tái)日志文件長(zhǎng)度1.01G，已經(jīng)超過(guò)門(mén)限值1024M，系統(tǒng)已經(jīng)自動(dòng)壓縮、備份、清空此文件；即將重啟處理引擎：之前它可能已經(jīng)暫停處理數(shù)據(jù)等等信息。

圖2 緊急事件的基本信息

圖3 SAM認(rèn)證按IP查出的用戶名

圖4 設(shè)備才上線時(shí)的攻擊路線圖

操作日志有登錄信息，以及對(duì)緊急事件的處理記錄。

系統(tǒng)菜單里有自動(dòng)清理功能，在線數(shù)據(jù)可占用文件系統(tǒng)最大比例80%,超過(guò)此值系統(tǒng)將一次性清理直到文件系統(tǒng)被占用比例70%，這能保障系統(tǒng)正常運(yùn)行。

日常使用

1.當(dāng)有緊急事件時(shí)點(diǎn)開(kāi)，可以看到基本信息如圖2，感染主機(jī)IP地址，然后到SAM認(rèn)證服務(wù)器查此IP地址對(duì)應(yīng)的用戶名如圖3，如果是認(rèn)證的基本可以查出來(lái)，如果不認(rèn)證的用戶無(wú)法查出用戶來(lái)，只能根據(jù)IP地址知道是某個(gè)樓，然后再通過(guò)MAC地址查出在某個(gè)接入交換機(jī)的端口號(hào)。通過(guò)IP地址查出用戶名后直接通過(guò)SAM發(fā)廣播，簡(jiǎn)化緊急事件內(nèi)容發(fā)給用戶處理，同時(shí)通知相關(guān)部門(mén)。對(duì)查不到用戶名根據(jù)IP地址發(fā)給相應(yīng)的樓所屬的部門(mén)，同時(shí)在接入交換機(jī)上封殺此地址對(duì)外訪問(wèn)。對(duì)服務(wù)器有問(wèn)題直接發(fā)給相關(guān)管理員處理。

2.攻擊路線圖的功能，當(dāng)開(kāi)始探針上線時(shí)看到的攻擊回歸線圖如圖4：顯示內(nèi)網(wǎng)的相互攻擊非常多，找出幾個(gè)可能是內(nèi)網(wǎng)攻擊源的IP地址，及時(shí)通知相關(guān)用戶整改，同時(shí)在出口上將此圖顯示攻擊源IP封殺，完成幾次后如圖5，這是現(xiàn)在攻擊路線圖，內(nèi)網(wǎng)相互攻擊明顯減少了，只是主要服務(wù)器的掃描、攻擊仍然較多，因?yàn)閱挝恢黜?yè)等是公開(kāi)的，沒(méi)辦法不讓別人來(lái)攻擊。再通過(guò)其他安全設(shè)備檢測(cè)如果發(fā)現(xiàn)攻擊太多的IP也會(huì)封殺訪問(wèn)。配置菜單中有個(gè)WAF聯(lián)動(dòng)，新增加單位的WAF（與安全探針是不同廠家的）地址及端口后狀態(tài)一直是斷開(kāi)，可能需相同公司的產(chǎn)品或是其他原因。

3.在導(dǎo)航頁(yè)的攻擊源區(qū)域排名，在上線2個(gè)月左右長(zhǎng)沙排名第一，共10萬(wàn)多次，其他幾個(gè)顯示的國(guó)家名分別只有幾百次，這可能是因?yàn)閰⒓恿藥状喂シ姥菥氂嘘P(guān)，也可能是真正的攻擊。

4.在導(dǎo)航頁(yè)的主機(jī)威脅TOP5第一名是單位主頁(yè)，排名第二位竟然是該安全探針，顯示的攻擊結(jié)束時(shí)間都是在半個(gè)月前，當(dāng)時(shí)在上網(wǎng)行為日志不良訪問(wèn)排名靠前也是安全探針I(yè)P，當(dāng)時(shí)查安全探針I(yè)P地址的上網(wǎng)行為，基本只是訪問(wèn)一個(gè)網(wǎng)頁(yè)u.3fwork.com，但這之后基本沒(méi)有了，可能是受到攻擊，原因不明。為上邊監(jiān)控管理安全探針做了外網(wǎng)映射，可以在公網(wǎng)上訪問(wèn)，這有一定的風(fēng)險(xiǎn)。

圖5 經(jīng)過(guò)一段時(shí)間的攻擊路線圖

5.每日查看報(bào)表，主要查看受攻擊主機(jī)TOP100統(tǒng)計(jì)，如圖6：對(duì)排名靠前的IP地址通知相關(guān)用戶要求查殺電腦病毒，要求用戶注意下載及訪問(wèn)。查看攻擊來(lái)源TOP100統(tǒng)計(jì)，基本按周統(tǒng)計(jì)，對(duì)排名前列且攻擊次數(shù)特別多的IP地址有選擇性的封殺。在其他設(shè)備已經(jīng)封殺幾百個(gè)IP地址了，希望能有聯(lián)動(dòng)系統(tǒng)自動(dòng)添加封殺地址。因封殺使用的是出口的流表過(guò)濾及出口前的防火墻攔截，量太多的話會(huì)影響網(wǎng)絡(luò)速度，需要關(guān)注或使用其他方法封殺。

6.用戶反饋：有一次報(bào)告某IP有勒索病毒，在多種方法通知用戶后，用戶反映病毒沒(méi)有發(fā)作，同時(shí)馬上查殺電腦，確實(shí)殺出一批病毒，此IP后來(lái)再?zèng)]有報(bào)警了。有一臺(tái)上傳文檔的服務(wù)器有幾次都報(bào)上傳文檔有緊急事件，用戶對(duì)文檔查殺病毒，沒(méi)有發(fā)現(xiàn)問(wèn)題，說(shuō)是文檔都用了宏的原因。看產(chǎn)品說(shuō)明探針能發(fā)現(xiàn)傳統(tǒng)殺毒系統(tǒng)不能發(fā)現(xiàn)的問(wèn)題，希望能有配套的殺毒系統(tǒng)查殺報(bào)警文件。

還有一次也是一個(gè)文檔報(bào)有緊急事件，是計(jì)算機(jī)行業(yè)用戶，且這個(gè)文檔是他做的模板文檔，里面有網(wǎng)絡(luò)安全方面內(nèi)容，文檔也有多種方法殺病毒過(guò)都正常，在有線網(wǎng)下載有報(bào)警，無(wú)線網(wǎng)下載無(wú)報(bào)警，有線網(wǎng)換臺(tái)電腦也無(wú)報(bào)警，只能回復(fù)可能是原來(lái)有線網(wǎng)下載的哪臺(tái)電腦有問(wèn)題。

總結(jié)

網(wǎng)絡(luò)安全探針經(jīng)過(guò)不到2個(gè)月的上線運(yùn)行，基本每天都有緊急事件發(fā)生，都將相關(guān)信息通知到相關(guān)用戶，要求用戶處理并注意下載及訪問(wèn)，絕大部分用戶都能對(duì)電腦查殺病毒。

從攻擊路線圖上看內(nèi)網(wǎng)相互攻擊明顯減少，內(nèi)網(wǎng)的安全有了一定的提高，通過(guò)安全探針提供的信息對(duì)服務(wù)器進(jìn)行了加固、防護(hù)，但攻擊無(wú)時(shí)不在，網(wǎng)絡(luò)安全永遠(yuǎn)在路上。